Как избежать штрафов по ФЗ-572 при работе с биометрией
Обновлено: 29.05.2026
До 2 млн рублей — столько стоит одно нарушение при обработке биометрических данных по действующему законодательству. Федеральный закон от 29 декабря 2022 г. № 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" (далее - ФЗ-572) уже работает: требования к единой биометрической системе, порядку сбора данных и взаимодействию с ЕБС обязательны для исполнения, а Роскомнадзор фиксирует нарушения и выносит предписания. В этом материале — не теория, а конкретный план: что проверить, что оформить и что изменить в процессах, чтобы работа с биометрией не обернулась штрафом.
Что такое ФЗ-572 и на кого он распространяется
Федеральный закон № 572-ФЗ основная часть вступила в силу 1 июня 2023 года. Закон описывает идентификацию и (или) аутентификацию физических лиц с использованием биометрических персональных данных и пока описывает не всю возможную биометрию, а только голос и фотоизображение. Главный инструмент закона — Единая биометрическая система (ЕБС), государственная платформа, через которую должна проходить коммерческая обработка биометрии. Если коротко: делать с биометрией что угодно и как угодно — больше нельзя.
Какую биометрию регулирует закон — лицо, голос и что остаётся «за скобками»
На данный момент действие 572-ФЗ распространятся на изображение лица человека, полученное с помощью фото видеоустройств, и запись голоса человека, полученная с помощью звукозаписывающих устройств.
Отпечатки пальцев, сетчатка глаза, рисунок вен — это биометрические персональные данные по ФЗ-152, но не объект регулирования ФЗ-572. Камеры видеонаблюдения, которые просто пишут картинку без анализа лиц, — тоже вне зоны действия закона.
Ключевой критерий — автоматизированная идентификация/аутентификация. Именно она переводит процесс в зону ответственности по ФЗ-572:
Охранник сверяет лицо посетителя с фотографией в журнале — это не биометрия по ФЗ-572. Система на турникете автоматически распознаёт лицо и открывает дверь — это уже попадает под закон.
Ниже таблица в которой описаны системы / Ситуации которые попадает или не попадает под ФЗ-572
| Система / Ситуация | Под ФЗ-572? | Комментарий |
| СКУД с автораспознаванием лица | ✅ Да | Автоидентификация по лицу |
| Голосовой помощник с идентификацией по голосу | ✅ Да | Автоидентификация по голосу |
| Камера видеонаблюдения без анализа лиц | ❌ Нет | Нет обработки биометрии |
| Охранник с фотоальбомом сотрудников | ❌ Нет | Ручная сверка, не автоматизирована |
| Сканер отпечатков пальцев | ❌ Нет | Не лицо и не голос — вне ФЗ-572, но под ФЗ-152 |
| Банковское приложение с Face ID | ✅ Да | Автоидентификация по лицу |
Кто обязан соблюдать закон
Закон распространяется на любую организацию, которая осуществляет идентификацию и (или) аутентификацию сотрудников, клиентов, посетителей с использованием биометрических персональных данных. Размер бизнеса и сфера деятельности значения не имеют.
Под действие ФЗ-572 попадают:
- Банки и финтех — идентификация клиентов по лицу или голосу при дистанционном обслуживании
- Работодатели — СКУД с распознаванием лиц на входе в офис или на производство
- Фитнес-клубы и коворкинги — турникеты с биометрическим доступом вместо карты или браслета
- Ритейл и торговые сети — системы распознавания лиц для выявления нежелательных посетителей
- Медицинские учреждения — идентификация пациентов по биометрии
- Транспортные компании — контроль доступа водителей и персонала
Если вы думаете, что вас это не касается — скорее всего, вы ошибаетесь. Небольшая компания с одним турникетом c распознаванием лиц уже является оператором биометрических персональных данных со всеми вытекающими обязанностями по ФЗ-572.
Штрафы за нарушение ФЗ-572
Санкции за нарушения в сфере биометрии — не абстрактная угроза. С 2025 года штрафы выросли радикально: суммы, которые раньше казались ощутимыми, теперь выглядят как минимальный порог. Минцифры проводит проверки, профилактические визиты, фиксирует нарушения и передает материалы в Федеральные органы исполнительной власти (Роскомнадзор, ФСТЭК, ФСБ), Центральный банк Российской Федерации для возбуждения дела об административных правонарушениях.
Ниже — конкретные цифры и составы, за которые бизнес платит уже сейчас.
Размеры санкций для юридических лиц, ИП и должностных лиц
Таблица штрафов по ФЗ-572 / КоАП РФ
| Нарушитель | Штраф |
| Юридическое лицо | до 2 000 000 ₽ |
| Должностное лицо | до 400 000 ₽ |
Как работает масштабирование штрафов на практике
Многие компании воспринимают штраф как разовую выплату. Это ошибка. Каждый субъект, чьи данные обрабатывались с нарушением, — потенциально отдельный эпизод.
Например, в компании 50 сотрудников проходят через турникет с распознаванием лица. Согласие не оформлено ни у кого. При проверке каждый из 50 случаев может быть квалифицирован как самостоятельное нарушение.
Самые частые нарушения, за которые штрафуют
По результатам проверок выделяется устойчивый топ ошибок — большинство из них системные, а не случайные. Проверьте себя по каждому пункту.
ТОП ошибок бизнеса при работе с биометрией
1. Хранение биометрии вне ЕБС
Частая ошибка: компания собирает и хранит математический шаблоны лиц сотрудников локально — на сервере СКУД или в облаке подрядчика.
Почему это нарушение: ФЗ-572 обязывает коммерческих операторов передавать биометрию в Единую биометрическую систему. Локальное хранение — прямое нарушение закона вне зависимости от уровня защиты сервера.
Чем грозит: штраф до 2 млн рублей для юрлица.
2. Отсутствие письменного согласия субъекта
Частая ошибка: сотрудник просто начинает пользоваться СКУД с распознаванием лица — без подписанного подписания соответствующего согласия.
Почему это нарушение: согласие на обработку биометрии должно быть письменным, отдельным от других документов и содержать строго определённые реквизиты. Помимо этого ФЗ-572 устанавливает дополнительные согласия: согласие на размещение и обработку персональных данных в единой системе идентификации и аутентификации, согласие физического лица на размещение его биометрических персональных данных в региональном сегменте единой биометрической системы, согласие на передачу биометрических персональных данных в единую биометрическую систему из региональных сегментов единой биометрической системы, согласие на обработку биометрических персональных данных в единой биометрической системе, согласие на обработку персональных данных и биометрических персональных данных в целях проведения его аутентификации. Устная договорённость, галочка в приложении или пункт в трудовом договоре — не считаются.
Чем грозит: отдельный состав по КоАП, штраф суммируется с другими нарушениями.
3. Использование ПО, не прошедшего процедуру соответствия
Частая ошибка: для СКУД выбирается камера или программное обеспечение без необходимой оценки соответствиям требованиям.
Почему это нарушение: технические средства обработки биометрии должны соответствовать установленным требованиям. Оборудование «просто с рынка» — даже качественное — не является легальным инструментом обработки биометрии по ФЗ-572.
Чем грозит: нарушение считается системным, что увеличивает вероятность максимального штрафа.
Обязательная передача биометрии в ЕБС — кому и когда
Любая организация, после проведения идентификации при личном присутствии физического лица обязана передавать биометрические персональные данные физического лица в ЕБС. Самостоятельное хранение биометрических шаблонов вне этой системы является нарушением.
Помимо этого сведения о физическом лице, биометрические персональные данные которого размещаются в единой биометрической системе, которые необходимы для регистрации физического лица в единой системе идентификации и аутентификации, и иные сведения, если такие сведения предусмотрены федеральными законами передаются в единую систему идентификации и аутентификации (ЕСИА).
Организовать передачу данных можно двумя взаимодействиями: транзакционным и векторным.
Когда согласие обязательно и как его правильно оформить
Согласие на обработку биометрии — обязательное условие, без которого любые действия с данными незаконны. Получить его нужно до начала обработки, оформить отдельным документом и убедиться, что оно содержит все необходимые элементы.
Что делать, если сотрудник отказался сдавать биометрию
Отказ от биометрии — законное право каждого субъекта. Принудить к сдаче биометрических данных нельзя ни под каким предлогом: ни под угрозой увольнения, ни как условие трудоустройства, ни как обязательный элемент корпоративных правил, ни как требование для заключение договора.
Технические требования к оборудованию и системам
Технические требования по ФЗ-572 — не бюрократическая формальность. Использование оборудования не прошедшего оценку соответствия автоматически делает всю обработку биометрии незаконной, даже если согласия оформлены правильно, договоры подписаны и уведомления направлены. Один неверно выбранный компонент системы обнуляет остальную работу по соответствию закону.
Какое оборудование допущено к работе
Любая биометрическая система, построенная в 2026 году, должна одновременно соответствовать требованиям 572-ФЗ, 152-ФЗ, приказам Минцифры, ФСТЭК и ФСБ.
Требования к хранению и передаче биометрических данных
Чтобы понять требования к хранению, нужно разграничить два принципиально разных типа данных.
Исходные биометрические данные — это фотография лица или аудиозапись голоса. Именно они несут максимальный риск: утечка исходников означает компрометацию биометрии человека навсегда.
Биометрический вектор — математическая модель, полученная из исходных данных. По сути это набор числовых характеристик, из которых восстановить оригинальное изображение невозможно.
Аналогия: биометрический вектор — это как хэш пароля, а не сам пароль. Хранить хэш можно, восстановить из него исходный пароль — нельзя. Та же логика работает с биометрическими векторами.
Схема жизненного цикла биометрических данных
- Сбор исходных данных (фото лица / запись голоса)
- Передача в ЕБС (по зашифрованному каналу)
- Преобразование в биометрический вектор
- Хранение в ЕБС (постоянное, под управлением аккредитованного оператора)
- Верификация по запросу (результат: совпадение / несовпадение — без передачи вектора)
Что это означает на практике:
- Если ваша СКУД (осуществляющая аутентификацию с использованием биометрических ПДн) хранит фотографии сотрудников — это нарушение
- Если система хранит исходное изображение «для истории» — нарушение
- Если вектор хранится локально без передачи в ЕБС — нарушение
Большинство «коробочных» СКУД-решений с распознаванием лиц, представленных на рынке до 2023 года, не соответствуют этим требованиям. Если ваша система не проходила проверку на соответствие ФЗ-572 после июня 2023 года — её нужно проверить до того, как это сделает Минцифра.
Альтернативы биометрии, которые не попадают под ФЗ-572
Переход на биометрию — не обязанность, а выбор. Если компания не готова проходить аккредитацию, выстраивать взаимодействие с ЕБС и нести сопутствующие расходы — это рациональное бизнес-решение, а не отставание от технологий. Существуют законные и надёжные альтернативы, которые обеспечивают контроль доступа без попадания под требования ФЗ-572.
Сравнительная таблица технологий СКУД
| Технология | Под ФЗ-572? | Под ФЗ-152? | Нужно согласие? | Уровень безопасности |
| Распознавание лица (авто) | ✅ Да | ✅ Да | ✅ Письменное | Высокий |
| Идентификация по голосу (авто) | ✅ Да | ✅ Да | ✅ Письменное | Высокий |
| Отпечаток пальца | ❌ Нет | ✅ Да | ✅ Письменное | Высокий |
| Рисунок вен ладони | ❌ Нет | ✅ Да | ✅ Письменное | Высокий |
| Бесконтактная карта (RFID) | ❌ Нет | ❌ Нет | ❌ Не требуется | Средний |
| QR-код | ❌ Нет | ❌ Нет | ❌ Не требуется | Средний |
| Комбо: карта + PIN | ❌ Нет | ❌ Нет | ❌ Не требуется | Высокий |
Контроль доступа без биометрии — QR-коды, карты, вены ладони
1. Отпечаток пальца
Как работает: сканер (оптический, ёмкостный или ультразвуковой) считывает папиллярный узор подушечки пальца и сравнивает с сохранённым шаблоном. При совпадении система открывает доступ.
✅ Плюсы:
- Не подпадает под ФЗ-572 (не лицо и не голос)
- Высокая точность идентификации при качественном оборудовании
- Широкая распространённость — большой выбор устройств и ценовых сегментов
- Быстрая верификация — доли секунды
- Удобно для пользователя: носить с собой ничего не нужно
❌ Минусы:
- Отпечаток можно скопировать (латентный след на поверхности) — уязвим к атаке «искусственным пальцем» на бюджетных сканерах
- Контактный способ — гигиенические ограничения в производственной среде и медицине
- У части сотрудников папиллярный узор плохо считывается (сухая кожа, мозоли, травмы)
- При компрометации шаблона заменить «палец» невозможно — данные скомпрометированы навсегда
Логика выбора: использование сканера отпечатка пальца позволяет вывести систему идентификации за периметр ФЗ-572. Однако это не означает отсутствия регуляторных обязательств: отпечаток пальца относится к биометрическим персональным данным по ФЗ-152, и все требования этого закона к оператору сохраняются в полном объёме.
2. Рисунок вен ладони
Как работает: инфракрасный сканер считывает уникальный рисунок венозной сети ладони и сравнивает с эталоном.
✅ Плюсы:
- Не подпадает под ФЗ-572 (не лицо и не голос)
- Высокая точность и защита от подделки
- Бесконтактный — гигиенично
- Сложно скомпрометировать: вены не видны снаружи
❌ Минусы:
- Является биометрией по ФЗ-152 — требуется письменное согласие
- Необходима локальная защита хранимых шаблонов
- Выше стоимость оборудования по сравнению с картами
Логика выбора: если нужна высокая точность идентификации и при этом компания хочет избежать требований ФЗ-572 — вены ладони разумный компромисс. Но полностью от регуляторной нагрузки уйти не получится: ФЗ-152 всё равно применяется.
3. Бесконтактная карта (RFID/NFC)
Как работает: сотрудник прикладывает карту к считывателю, система идентифицирует её уникальный код.
✅ Плюсы:
- Не является биометрией — ни по ФЗ-572, ни по ФЗ-152
- Согласие сотрудника не требуется
- Минимальные требования к инфраструктуре
- Низкая стоимость внедрения и обслуживания
- Отработанная технология с широкой поддержкой
❌ Минусы:
- Карту можно передать другому лицу или потерять
- Не подтверждает личность — только факт наличия карты
- Требует учёта и замены утерянных карт
Логика выбора: оптимально для офисов и предприятий с умеренными требованиями к безопасности. Самое простое решение с минимальным регуляторным бременем.
4. QR-код
Как работает: сотрудник показывает динамический QR-код (из приложения или по SMS) — система сканирует и открывает доступ.
✅ Плюсы:
- Не биометрия, не персональные данные в классическом смысле
- Динамический QR обновляется — сложнее подделать
- Удобно для временного доступа (подрядчики, гости)
- Легко интегрируется с корпоративными приложениями
❌ Минусы:
- Зависимость от смартфона и заряда батареи
- При утере телефона — риск несанкционированного доступа
- Требует стабильного мобильного интернета или Bluetooth
Логика выбора: хорошее решение для гостевого и временного доступа, а также для компаний с развитой мобильной инфраструктурой.
5. Комбинированный доступ: карта + PIN
Как работает: двухфакторная система — сотрудник прикладывает карту и вводит код.
✅ Плюсы:
- Высокий уровень безопасности без биометрии
- Не регулируется ни ФЗ-572, ни ФЗ-152
- Согласие не требуется
- Защита от передачи карты другому лицу
❌ Минусы:
- Чуть медленнее однофакторных систем
- Пользователи забывают PIN-коды — операционная нагрузка на HR/IT
Логика выбора: оптимальный баланс безопасности и простоты для большинства организаций, которые хотят минимизировать регуляторные риски.
Блок «Вопрос — Ответ»
У нас в офисе камеры видеонаблюдения. Мы попадаем под ФЗ-572?
Нет, если камеры только записывают видео без автоматического анализа лиц. Видеозапись — не биометрия по ФЗ-572. Однако, если запись хранится и теоретически позволяет идентифицировать человека, стоит проверить требования ФЗ-152 в части обработки персональных данных.
Охранник на входе сверяет лицо посетителя с фотографией в базе. Это биометрия?
Нет. Ручная сверка — не автоматизированная обработка. Охранник выполняет визуальную идентификацию, система биометрические данные не обрабатывает. ФЗ-572 не применяется.
Мы установили камеру с функцией подсчёта посетителей. Под закон попадаем?
Нет, если система считает людей как объекты (силуэты, тепловые пятна) без идентификации личности. Как только система начинает сопоставлять изображение лица с базой данных — включается ФЗ-572.
